有谁遇到过`-bash`挖矿病毒吗?

2019-04-10 08:28:08 +08:00
 zhuifeng1017

有个-bash 进程,cpu 被拉到 200%,crontab 被加入了如下代码:


在 /tmp/.scr/sn2 目录中有-bash, go, i686, x86_64 可执行文件。 每次手动杀毒后,能管当天不发作。第二天早上 7:35 分又会准时开始。

5659 次点击
所在节点    问与答
14 条回复
CEBBCAT
2019-04-10 08:40:28 +08:00
叫这个名字的可能有很多,自动“恢复”八成是还有残余,可以考虑上传 shell 代码
BB0923
2019-04-10 09:51:28 +08:00
驱动人生????
ThirdFlame
2019-04-10 09:55:31 +08:00
证明还有定时任务 或者 rootkit。
看一下 /etc/crontab
javen73
2019-04-10 10:03:16 +08:00
这个玩意儿嘛。
zhuifeng1017
2019-04-10 10:10:46 +08:00
@javen73 , 应该都是挖矿病毒。只不过你的进程名看不到
tyit
2019-04-10 10:17:17 +08:00
先暂停进程,然后看这个病毒文件究竟在干嘛,执行了那些操作,照着思路去杀,不然都是瞎折腾!
boris1993
2019-04-10 10:28:04 +08:00
备份数据,重装系统
dlsflh
2019-04-10 10:29:28 +08:00
把它的门罗地址改成自己的,也算是为自己挖矿了。
insiderzzy
2019-04-10 11:47:15 +08:00
之前在腾讯云上的服务器就被挖矿了,是通过 redis 写进定时任务的。(我们把 redis 端口不小心暴露了)
然后是通过搜索,被攻击时间创建的所有文件,然后删除解决的。被攻击时间就是 crontab 被写入的时间。
dontalk
2019-04-10 11:50:20 +08:00
专业杀毒,一般都是有定时任务和守护进程的。另外看下系统命令是否被替换了,这个也很重要。 可以帮你看看。
zhuifeng1017
2019-04-10 11:53:27 +08:00
@insiderzzy ,通过时间搜索相关文件, 这个办法应该可行
huangdayu
2019-04-10 12:02:23 +08:00
Mining Pool Online
zhuifeng1017
2019-04-12 17:22:58 +08:00
jenkins 漏洞,最近爆发了!!!
yfl168648
2019-05-22 02:41:29 +08:00
我也遇到了同样的病毒。同事重启了主机后出现的。他会自动把其他占用资源的进程给杀掉。导致我们应用进程一直被 kill,后来是在 crontab 里看到有这个 /tmp/.scr/sn2/./-bash -d 我也是先手动杀了。不知道明天怎么样。
系统启动项都检查了。也没找到。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/553573

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX